Un nuevo actor de amenaza sofisticado conocido como Mocha Manakin ha surgido en el panorama cibernético, empleando una técnica de ingeniería social cada vez más popular llamada “pasta y ejecución” para engañar a los usuarios para ejecutar guiones maliciosos en sus sistemas.
Este método engañoso ha ganado una tracción significativa entre los ciberdelincuentes debido a su efectividad para evitar medidas de seguridad tradicionales y explotar la psicología humana en lugar de las vulnerabilidades técnicas.
La técnica de pegar y Ejecutar, también conocida como ClickFix o Fakecaptcha, presenta a los usuarios las indicaciones de verificación aparentemente legítimas que los engañan para que crean que necesitan completar ciertos pasos para acceder a documentos, sitios web o instalaciones de software.
El ataque generalmente implica botones falsos de “arreglar” o “verificar” que copian encopuladamente los comandos de PowerShell ofuscados al portapapeles del usuario, seguidos de instrucciones que guían a las víctimas a través de la ejecución de estos comandos maliciosos.
Los analistas de Red Canary identificaron por primera vez la actividad de Mocha Manakin en enero de 2025, distinguiéndola de otras campañas de pasta y ejecutan a través de su implementación de un Nodeinitrat doblado por la puerta trasera basada en Nodejs.
El actor de amenaza ha demostrado persistencia y evolución en sus tácticas, con investigadores que observan múltiples iteraciones de sus comandos de ataque durante todo 2025.
Lo que distingue a Mocha Manakin de amenazas similares es la sofisticación de su carga útil final y el potencial de escalada a los ataques de ransomware.
Los investigadores canarios rojos tienen identificado Las superposiciones entre la actividad de Mocha Manakin y las operaciones de ransomware entrelazados, lo que sugiere que las infecciones exitosas pueden conducir a resultados más destructivos.
Si bien aún no se ha observado la progresión directa al ransomware, los expertos en seguridad evalúan con una confianza moderada de que la actividad de Mocha Manakin no mitigada probablemente dará como resultado una implementación de ransomware.
NodeInitrat: una puerta trasera personalizada con capacidades avanzadas
La carga útil de Nodeinitrat representa un aspecto particularmente preocupante de las operaciones de Mocha Manakin, lo que demuestra capacidades avanzadas de amenaza persistente a través de un tiempo de ejecución legítimo de NodeJS.
Flujo Nodeinitrat (Fuente – RedCanary)
Cuando se ejecuta con éxito, el comando PowerShell inicial descarga un archivo ZIP que contiene un nodo portátil legítimo.exe binario y el código de nodoinitrat malicioso, que luego se ejecuta pasando el contenido de la puerta trasera directamente a través de la línea de comando.
La puerta trasera establece la persistencia a través de las claves del registro de Windows, generalmente llamado “ChromeUpdater”, asegurando el acceso continuo a los sistemas comprometidos.
Las comunicaciones de Nodeinitrat se producen a través de HTTP a través de los túneles de CloudFlare, lo que hace que la detección y el bloqueo sea más desafiante para las herramientas de seguridad de red.
El malware emplea la codificación de XOR y la compresión de GZIP para minimizar la transferencia de datos y evadir la inspección superficial mientras realiza actividades de reconocimiento, incluidas la enumeración de dominio y los intentos de escalada de privilegios.
¿Eres de los equipos SOC/DFIR! – Interactuar con malware en el sandbox y encontrar IOC relacionados. – Solicitar prueba gratuita de 14 días
